A plataforma de perpétuos Wasabi Protocol perdeu cerca de US$ 4,5 milhões na quinta-feira, depois que invasores comprometeram uma chave de administrador que controlava seus contratos de cofres em Ethereum (ETH) e Base.
Detalhes do Exploit da Wasabi
A violação foi primeiro sinalizada pela empresa de segurança Blockaid, que rastreou a perda até uma carteira deployer que detinha o único ADMIN_ROLE no sistema de permissões da Wasabi.
O invasor chamou grantRole nesse contrato, concedeu direitos de administrador a um contrato auxiliar e aplicou um upgrade UUPS nos cofres perp e no LongPool. Implementações maliciosas então drenaram saldos em ambas as redes.
Os pools afetados incluíam wWETH, sUSDC, wBITCOIN, wPEPE e cofres Long Pool em Ethereum, além de sUSDC, sBTC, sAERO e outros na Base, conforme relatado pela CertiK. A Wasabi não possuía timelock nem multisig sobre a função de administrador.
Também leia: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
Risco de chave única se repete
Analistas afirmam que o roteiro é familiar. O ataque se assemelha de perto à violação de 1º de abril na Drift Protocol, em que uma chave de administrador comprometida drenou US$ 285 milhões na Solana (SOL) em cerca de 12 minutos.
Semanas depois, a Kelp DAO perdeu US$ 292 milhões por meio de uma falha de verificador único em sua ponte LayerZero.
Só abril já produziu mais de US$ 605 milhões em perdas em DeFi em pelo menos 12 incidentes, elevando o total de 2026 para mais de US$ 770 milhões. Pequenas violações na CoW Swap, Grinex, Resolv Labs e Volo Protocol também se acumularam ao longo do mesmo mês.
Leia a seguir: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965